Monday, November 26, 2012

Why Collect Full Content Data?

I recently received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following via email:

I am writing a SANS Gold paper on a custom full packet capture system using Linux and tcpdump. It is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSEC Certification, so my intent is to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons why to do full packet capture and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic set up of a system (information that wasn't readily available when setting my system up)...

I am already referencing The Tao of Network Security Monitoring.

These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that I came up with based on questions ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peers have asked me...

Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions, followed by my answers. Most of this is covered in my previous books and blog posts, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of brevity I'll try posting short, stand-alone responses.

  1. As an information security analyst in today's threat landscape why would I want to do full packet capture in my environment? What value does have?

    Full content data or capturing full packets provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most flexibility and granularity when analyzing network-centric data. Unlike various forms of log data, full content data, if properly collected, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual data that was transferred -- not a summarization, or representation, or sample.

  2. Where should I place a full packet capture system on my network - are ingress/egress points sufficient?

    I prioritize collection locations as follows:

    • Collect where you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true Internet destination IP address for traffic of interest, and where you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true internal source IP address for traffic of interest. This may require deploying two traffic access methods with two sensors; so be it.
    • Collect where you can see traffic to and from your VPN segment. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous IP address requirements.
    • Collect where you can see traffic to and from business partners or through "third party gateways." You need to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true source IP, but you may not be able to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true destination IP if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business partner prevents collecting behind any NAT or security devices that obscure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true destination IP.
    • Collect where your business units exchange traffic. This is more of a concern for larger companies, but you want to see true source and destination IPs (if possible) of internal traffic as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cross business boundaries.
    • Consider cloud or hosted vendors who enable collection near Infrastructure-as-a-Service platforms used by your company.
  3. What advantages are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to creating a custom server with open source tools (such as a server running Linux and capturing with tcpdump) opposed to buying a commercial solution (like Solera or Niksun)?

    A custom or "open" platform enables analysts to deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security mission. Closed platforms require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst to rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor.

  4. Now that I have full packet data, what kind of analysis goals should I have to address advanced threats and subtle attacks?

    The goal for any network security monitoring operation is to collect and analyze indicators and warnings to detect and respond to intrusions. Your ultimate role is to detect, respond to, and contain adversaries before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, which may be to steal, alter, or destroy your data.

  5. Any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r advice for an analyst just getting started with full packet capture systems and analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data?

    Rarely start with full content data. Don't dump a ton of traffic into Wireshark and start scrolling around. I recommend working with session data (connection logs) and application-specific logs (HTTP, DNS, etc.) to identify sessions of interest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content if necessary to validate your suspicions.

I could write a lot more on this topic. Stay tuned.

Sunday, November 25, 2012

Spectrum of State Responsibility

"Attribution" for digital attacks and incidents is a hot topic right now. I wanted to point readers to this great paper by Jason Healey at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atlantic Council titled Beyond Attribution: Seeking National Responsibility in Cyberspace.

ACUS published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report in February, but I'm not hearing anyone using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rein. Probably my favorite aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart pictured at left. It offers a taxonomy for describing state involvement in digital attacks, ranging from "state-prohibited" to "state-integrated."

I recommend using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart and ideas in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper as a starting point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time you have a debate over digital attribution.


Saturday, November 24, 2012

Recommended: The Great Courses "Art of War" Class

I recently purchased and listened to an audio course titled The Art of War (TAOW) by Prof Andrew R. Wilson and published by The Great Courses. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first few minutes I knew this series of six 30 minute lessons was going to be great.

For example, did you know that "Sun Tzu" didn't write "The Art of War?" An anonymous author wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th century BC, based on Sun Tzu's lessons from his time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6th century BC.

Also, "The Art of War" isn't even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book! It's actually "Master Sun's Military Method." Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "Master" is significant as it was a term not usually associated with generals.

I especially like two aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lecturer, paraphrasing his own words, didn't choose to simply peruse TAOW looking for trite phrases. He equates that approach with telling a stock broker to "buy low, sell high." Instead, Prof Wilson is more concerned with explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words really mean.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lecturer extends his discussion beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of China's Warring States Period, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 era from which TAOW was born. Prof Wilson applies lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to military history and business situations. He also applies TAOW to modern Chinese cyber espionage, showing he keeps current with contemporary issues.

Consider buying TAOW as a holiday gift for yourself or your friends!

Friday, November 23, 2012

Commander's Reading List

Last month a squadron commander asked me to recommend books for his commander's reading list. After some reflection I offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.

I've divided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list into two sections: technical and nontechnical. My hope for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical books is to share a little bit of technical insight with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander's intended audience, while not overwhelming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The plan for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nontechnical items is to share some perspective on history, policy, and contemporary problems.

The list is in no particular order.

Nontechnical books:

Technical books:

I also recommend any books by Timothy L Thomas.

Update: For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more technically-minded reader, I'm adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Practical Malware Analysis by Michael Sikorski and Andrew Honig.

Note: The above do not necessarily constitute my "best" or "favorite" books. Please see Best Books for blog posts on that subject.

Thursday, November 22, 2012

Do Devs Care About Java (In)Security?

In September InformationWeek published an article titled Java Still Not Safe, Security Experts Say. From that article by Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w J. Schwartz:

Is Java 7 currently safe to use?

Last week, Oracle released emergency updates to fix zero-day vulnerabilities in Java 7 and Java 6. But in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java 7 fix, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new version allows an existing flaw--spotted by security researchers and disclosed to Oracle earlier this year--to be exploited to bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java sandbox. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, while fixing some flaws, Oracle opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one.

In light of that situation, multiple security experts said that businesses should continue to temporarily disable all Java use, whenever possible. "There are still not-yet-addressed, serious security issues that affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version of Java 7," said Adam Gowdiak, CEO and founder of Poland-based Security Explorations, which initially disclosed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploited vulnerabilities to Oracle in April. "In that context, disabling Java until proper patches are available seems to be an adequate solution," he said via email.

A month later I read a new article in InformationWeek titled "Oracle's Java Revival," also available as Two Years Later: A Report Card On Oracle's Ownership of Java by Andrew Binstock. The article appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 29 October 2012 issue of InformationWeek, at a time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community continued to reel from repeated hammering of Java vulnerabilities.

I expected some mention of Java security woes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. About halfway through, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "security" not yet in print, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

In 2011, Oracle did not fare much better. The welcome release of Java 7 was marred by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revelation that it included serious defects that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company knew about.

Ok, maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be some expansion of this idea? Shouldn't a terrible security record be a major factor affecting enterprise use of Java and a reflection on Oracle's handling of Java? Instead I read this:

I'm inclined to agree with James Gosling's revised opinion of Oracle's stewardship, that it's been good for Java...

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record is mixed in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas...

Oracle's ambiguous relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JCP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSS communities remain two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r weak points.

That's it? Security pros continue to tell enterprise users to disable Java, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development community is more concerned about features, personalities, and community relations?

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java development community, and especially Oracle, must reevaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities regarding security. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves coding for a platform that enterprise users will increasingly disable.

Sunday, October 14, 2012

Review of Super Scratch Programming Adventure! Posted

Amazon.com just posted a joint review by myself and my daughter of No Starch's new book Super Scratch Programming Adventure!. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five star review:

I asked my almost-8-year-old to share her thoughts on Super Scratch Programming Adventure! She chose five stars and wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I think it's a very great book. I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storyline, but my main concern is that I could not find a trace of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Super Scratch folder.

How hard is it to draw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mona Lisa? I have Scratch version 1.4, and I found it difficult drawing Le Louvre.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flip side, I learned a lot. Who knew you could make Scratchy move with 1) arrow keys and 2) a medium sized Script?

I enjoyed watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Magic Star Web change colors.

Overall, I think it's a very great book, and I highly recommend it to anyone who is interested in programming."

I agree that this is a great book. My daughter wanted to learn how to program a video game, and I thought it would be a lot more difficult. Shortly after starting to read and apply this book, she coded a video game!

I'd like to thank No Starch for sending us a review copy.

Tuesday, October 09, 2012

Washington National Guard: Model for Cyber Defense?

My friend Russ McRee pointed me to an article recently: WA National Guard focusing on cyber security. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

The Washington National Guard is leveraging a decade of investment in cyber security at Camp Murray in Lakewood into projects that could protect state and local governments, utilities and private industry from network attacks.

The aim is to bring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of disaster response cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Guard already lends to fighting wildfires and floods, said Lt. Col. Gent Welsh of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Air National Guard.

“Just as ‘Business X’ needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Guard to come in and fill sand bags, ‘Business X’ might need to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Guard if it’s overwhelmed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber side,” Welsh said.

The new task plays to a growing strength in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state’s National Guard, which draws on employees from companies including Microsoft and Amazon to provide special expertise in its network warfare units.

I first learned of this initiative when Russ Tweeted about it in June. In an email exchange he described his role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington State Guard (WSG):

"The WSG is an all volunteer force that is a state defense force, with what is typically an emergency management mission. See Title 38 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Revised Code of Washington (RCW). WSG is also authorized by Federal law, Title 32 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Code.

We most often serve as liaison officers in support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Emergency Support Function (ESF) 20 (defense support for civilian authorities) function per Federal Emergency Management Agency (FEMA) National Incident Management System (NIMS) / Incident Command System (ICS) guidance during major events (disasters, natural or human caused).

WSG remains a place where extremely experienced soldiers who have exceeded age requirements for active/reserve service can continue to serve as well as folks like me with no prior service who can't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal services to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for age reasons.

We can be called to active duty but in-state only. I was on active duty with orders for two days in June for a major statewide exercise. When we're called up for such activity we become peer in rank and responsibility to our National Guard counterparts.

I'll also be seeing some active duty time again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate future in support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiatives mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article."

I think this is a great start on a journey towards applying private sector expertise to national digital security problems, but on a local scale. The News Tribune article mentions that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guard (in all its forms) is working to figure out how it can provide help to besieged companies, from a legal and logistical perspective.

I think this line from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news article summarizes a key cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me in this discussion:

"We're not going to wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds to hand us everything," Welsh said.

In our Federal system, we should allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 States (per cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Amendment) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freedom to innovate, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby invent multiple approaches to fighting digital threats.